네덜란드 데이터 보호당국, 우버에 4295억원 벌금 부과

개인정보 보호없이 유럽 운전자 정보 美로 전송…일반데이터보호규정 위반

[샌프란시스코=AP/뉴시스]2022년 9월12일 미 캘리포니아주 샌프란시스코의 우버 본사 건물에 붙어 있는 우버 로고. 네덜란드 데이터 보호 당국 DPA는 26일 유럽 우버 운전자들의 개인정보를 적절한 보호없이 미국으로 전송한 혐의로 우버에 2억9000만 유로(약 4295억원)의 벌금을 부과했다. 우버는 이 결정이 정당하지 않다며 항소할 것이라고 말했다. 2024.8.26.

[헤이그(네덜란드)=AP/뉴시스] 유세진 기자 = 네덜란드 데이터 보호 당국 DPA는 26일 유럽 우버 운전자들의 개인정보를 적절한 보호없이 미국으로 전송한 혐의로 우버에 2억9000만 유로(약 4295억원)의 벌금을 부과했다. 우버는 이 결정이 정당하지 않다며 항소할 것이라고 말했다.

DPA는 2년 이상에 걸친 데이터 전송이 사용자 데이터를 보호하기 위한 기술적·조직적 조치가 필요한 유럽연합(EU)의 일반 데이터 보호 규정(GDPR)을 심각하게 위반한 것이라고 말했다.

"GDPR은 기업과 정부가 신중하게 개인 데이터를 처리하도록 요구함으로써 사람들의 기본권을 보호한다"고 알레이드 울프슨 DPA 회장은 말했다. 그는 이어 "슬프게도 유럽 밖에서는 이런 규정이 분명치 않다. 대규모로 데이터를 활용할 수 있는 정부를 생각해 보라. 그렇기 때문에 기업들은 보통 EU 밖에서 유럽인들의 개인 데이터를 저장할 경우 추가적 조치를 취할 의무가 있다. 우버는 데이터에 대한 보호 수준 보장을 위한 GDPR의 요구를 충족시키지 못했다. 이는 매우 심각하다"고 덧붙였다.

이 사건은 170명의 프랑스 우버 운전자들의 항의로 시작됐지만, 우버의 유럽 본사가 네덜란드에 있기 때문에 네덜란드 당국이 벌금을 부과했다.

우버는 데이터 전송이 잘못된 것이 아니라고 주장했다. "이 잘못된 벌금 부과는 정당화될 수 없다. 우리는 GDPR을 준수했다. 우리는 상식이 승리할 것이라고 확신한다"고 말했다.

이 위반 혐의는 유럽사법재판소(ECJ)가 2020년에 기술 대기업부터 소규모 금융회사에 이르기까지 수천개의 회사가 미국으로 데이터를 전송할 수 있도록 허용한 '프라이버시 실드' 협약이 미국 정부가 사람들의 데이터를 감시할 수 있기 때문에 무효라고 판결한 이후에 나왔다.

DPA는 EU와 동등한 수준의 보호가 실제로 보장될 때에만 EU 외부로 데이터를 전송할 수 있다고 말했다.

☞공감언론 뉴시스 dbtpwls@newsis.com